Auch Skype von angeblicher "Firefox-Lücke" betroffen [Update]

Das letzte Woche bekannt gewordene Problem bei der Behandlung spezieller URLs zieht immer weitere Kreise. Neben Firefox kann auch Skype oder das Instant Messenging Programm Miranda als Einfallstor dienen. Das spricht sehr dafür, dass die eigentliche Ursache des Problems die verwirrende Behandlung von URLs unter Windows ist. Fühlt sich ein Programm für einen URL-Typ wie mailto: nicht zuständig, reicht es die URLs zur weiteren Behandlung an das Betriebssystem weiter. Was da jedoch passiert, unterscheidet sich bei Windows XP, je nach dem, ob Internet Explorer 7 installiert ist oder nicht (selbst wenn IE mit dem Protokoll nichts am Hut hat).

So kommt es, dass URLs, die ein %00 oder ein nacktes Prozentzeichen enthalten – also ein %, das nicht zu einer gültigen Escape-Sequenz wie %FF gehört – direkt Programme mit Parametern starten können. Klickt man in Firefox oder in einer Chat-Nachricht auf eine URL der Form

mailto:test%../../../../windows/system32/calc.exe".cmd

startet der Taschenrechner – zumindest auf einem Windows XP mit IE 7. Unter Vista oder mit dem alten IE6 funktioniert das jedoch nicht. Andere Programme, die sich in die URL-Behandlung einklinken, beeinflussen das Verhalten ebenfalls. Welche Protokolle außer den bislang bekannten mailto:, news:, snews:, nntp: und telnet: eventuell ebenfalls betroffen sind, ist nicht ganz geklärt. Alternativ kann man dies auch testen, indem man die Zeichenkette über "Ausführen" im Start-Menü direkt an das Betriebssystem übergibt. Angreifer könnten dieses Verhalten ausnutzen, um beliebige Befehle auf dem System ihrer Opfer auszuführen, denen sie entweder eine speziell präparierte Web-Seite unterjubeln oder etwa eine Skype-Nachricht senden.

Die Mozilla-Entwickler haben nach der Benachrichtigung durch heise Security, dass auch % den Fehler auslöst, eingesehen, dass ihr erster Ansatz %00 aus URLs herauszufiltern, hinfällig ist. Der Eintrag in der Fehlerdatenbank steht zwar noch auf "RESOLVED/FIXED", aber Mozilla-Entwickler Dan Veditz hat gegenüber heise Security bestätigt, dass man den aktuellen Patch als wirkungslos betrachte, da auch % allein das Problem auslösen kann.

Die Entwickler diskutieren derzeit, wie sie Anwender effizient schützen können, ohne legitime Programme unnötig zu behindern. Dabei stehen sie vor dem Problem, dass immer noch nicht ganz klar ist, wie Windows URLs tatsächlich behandelt. Zumindest gibt es mittlerweile erste Informationen von Microsoft, wie Windows welche URLs behandelt.

Wie Dan Veditz gegenüber heise Security erläuterte, überlegen die Entwickler derzeit, ob sie nicht besser den bereits nahezu fertigen Release Candidate für Version 2.0.0.6 auch ohne diesen Patch ausliefern sollen. Denn der enthält bereits einen anderen Patch für ein ähnlich gelagertes Problem, nämlich die nicht gefilterten Anführungszeichen, auf die manche Programme allergisch reagieren. Das würde nämlich auch schon alle bisher bekannten %-Exploits unterbinden. Damit gewänne man Zeit, um in Ruhe eine saubere Lösung für dieses Problem zu entwickeln, räsoniert Veditz.

Dass Programme wie Skype und Miranda ebenfalls betroffen sind, macht aber deutlich, dass nun definitiv Microsoft in der Pflicht ist, Klarheit in dieses Wirrwarr zu bringen und auch möglichst schnell die Behandlung von URLs durch Windows zu vereinheitlichen. Denn jetzt nur abzuwarten, bis alle Applikationen sich auf das aktuelle Chaos eingestellt haben, hieße, das Problem auf dem Rücken der Anwender auszusitzen.

Update:
Nach Tests von heise Security sind auch Anwender des IM-Clients Miranda gefährdet. Durch einen Klick auf eine Chat-Nachricht startete direkt der Taschenrechner. Somit ist davon auszugehen, dass alle Applikationen, die URLs entgegennehmen und an das Betriebssystem zur Bearbeitung weitergeben, potentiell anfällig für dieses Problem sind.

Siehe dazu auch:

• Firefox und Internet Explorer 7 vertragen sich immer noch nicht auf heise Security
• Neue Erkenntnisse zur "Firefox-Lücke" auf heise Security
• Microsoft punktet beim Sicherheits-Ping-Pong mit Mozilla auf heise Security
• Some schemes with %00 launch unexpected handlers on windows, Bugzillaeintrag zum Problem mit %00 und %
• Firefox may not escape quotes everywhere, Bugzillaeintrag zum Problem mit "

(ju)